对高校来说,选择主流的杀毒软件,其效果一般都差不多,中山大学去年底进行的一项针对防病毒软件的调查结果表明,主流软件的杀毒效果几乎相当。
每种防病毒软件各有特点,各有缺点,如果不停地更换杀毒软件以取得良好效果并不是一种好的对策。因此,高校一方面应当选择好的杀毒软件,依靠厂商更新病毒库与最新的技术,另外一方面,高校完全可以与厂商进行协作,在校园网内发现病毒后,适当地采集疑似病毒样本,并对之分析,防病毒软件暂不能识别和处理的就应该提交给安全厂商,促使其更新病毒定义;进行风险评估,找到其感染传播途径后就应该根据风险等级分别进行网络隔离、事件批露、提供清除方法以及事后总结以便更有效地对付未来可能出现的、新型的未知威胁,避免大规模地、更多的其他机器受到同一问题影响。
首先我们应了解病毒的各种特征和属性,这样有利于更准确更快捷地找到真正的病毒样本。
计算机感染病毒后的症状分显性和隐性两种,显性的包括机器运行变慢,启动变慢,自动弹出某些错误窗口、广告窗口,安全软件运行不起来等。隐性的诸如在系统中添加一些带隐藏和系统属性的文件,添加一些注册表键值,建立异常的网络连接,发送一些网络流量,实施ARP欺骗,等等。通过直接或间接的方法(如查看网络邻居ARP防火墙日志,二层交换机端口转发MAC地址表,三层交换机ARP表,流量过滤日志以及网络抓包方法等等)分析症状可初步确定哪台计算机感染了病毒。
当定位到“机”后,就可以在该机上进行病毒采样了。残留在计算机系统(这里仅针对Windows系统)的病毒文件具有以下几个特征:
位置:通常在各分区根目录,%windir%,%windir%\system32,%windir%\system32\drivers,%windir%\system32\Com,%userprofile%\「开始」菜单\程序\启动,%userprofile%\Local Settings\Temp,%userprofile%\ Local Settings\Temporary Internet Files以及 \Documents and Settings\All Users\「开始」菜单\程序\启动,等等路径下。
类型:exe,bat,com,pif,dat,dll,sys。
时间:最近创建日期,最早创建日期(可能早于系统安装日期)。
大小:一般在1M以下。
文件属性:经常伪装成“系统”和“隐藏”属性。
我们采样时把以上几个特征结合起来就可以缩小查找的范围。具体操作方法如下:
直接在病毒宿主系统上采集
1. 通过资源管理器提取样本文件,前提是文件夹选项能不选中“隐藏受保护的操作系统文件(推荐)” 和“隐藏已知文件类型的扩展名”,以及选中“显示所有文件和文件夹”,如图1。
并且在资源管理器,要点选查看菜单的“详细信息”,使之能看到每个文件的名称、大小等各列详细信息,还要在各列名称处点鼠标右键,在快捷菜单上勾选“创建日期”,使“创建日期”列也能显示出来,然后单击此列,文件列表就可以以创建日期排序了,如图2。
2.通过WinRAR提取样本文件。WinRAR是一个普通的压缩解压软件,一般计算机上都安装了这个软件。它可以像“资源管理器”那样进行文件显示、拷贝等操作,所不同的是它不用经过任何设置就可以显示所有文件(包括“隐藏”的“系统”文件),这在文件夹选项被病毒强制篡改时尤为有用,遗憾的是它不能显示创建日期列。
3.在命令提示符下通过命令提取样本文件。
> dir /a /t:c /o:d 命令的作用是在屏幕上显示所有文件和文件夹并且显示日期为排过序的创建日期,如果加重定向符,还可把显示的文件列表写入一个文本文件。
> xcopy source [destination] /h /d:m-d-y命令的作用是把从m-d-y日期以后修改过或新建的要提取的文件拷贝到目标路径下,如果是隐藏文件和系统文件也不例外。
以光盘系统启动后采集
以Windows PE光盘或Linux Live CD启动计算机,可在一个独立于原硬盘操作系统的新系统上挂载原硬盘分区,从而使提取样本文件不受病毒进程的影响。
通过访问挂马网站采集
有些网站被黑客入侵后网页被嵌入恶意代码,使得访问它的客户端自动连接到关联的木马站点下载木马病毒,所以可以通过这种途径收集到病毒样本。
蜜罐方法
可以在内部网设立蜜罐被动或主动搜集病毒样本。
前面步骤拿到的样本是疑似病毒样本,不一定是真正的病毒样本,病毒样本的确认需要经过分析。分析的方法有直接拆解的方法,反汇编的方法等等,但是这种方法比较费时费力。我们的做法是将它们提交到www.virustotal.com 供32款防病毒产品免费的检测,由它返回的检测报告分析判断是否真的含有恶意代码。如果有1/3或以上数量的防病毒产品检测出有病毒,而其他防病毒产品未检测出来就必须再提交到相应的安全厂商,让这些安全厂商确认后修正病毒定义使其产品更新后具有处理该病毒的能力。
此外,要根据病毒样本的具体情况,有的需要在虚拟机环境下运行,并通过抓包观测它的网络行为,如果涉及到连接木马网站下载木马的行为,就要把它所连的网站的域名和IP揪出来,予以网络封锁。如果有ARP欺骗行为或试图通过某种网络端口进行感染传播的行为,也要有相应的防护措施和向用户告警。
样本分析完后要及时的归档隔离,并做好相关登记工作。绝不能放到网络可达的地方,并严禁无关的人接触它们,应定期予以销毁。
(作者单位为中山大学信息与网络中心)
本文出自:《中国教育网络》2008年7月刊
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。